健康医疗大数据中的个人信息安全

健康医疗大数据中的个人信息安全

摘要:随着大数据技术在医疗健康产业的运用,智慧健康医疗便民服务发展迅速,但是其应用过程中的个人健康医疗信息安全保护问题也日益严峻。针对我国对个人健康医疗信息的法律保护问题进行探讨,并根据国外的信息安全保护的经验,提出可资参考的建议。

关键词:健康;大数据;个人信息;安全

随着现代网络技术、人工智能、大数据等现代技术的蓬勃发展,互联网与医疗健康产业的关系日益密切。《“健康中国2030”规划纲要》提出加强健康医疗大数据的应用,为健康医疗大数据的发展带来了重大机遇,其市场规模发展迅猛。但是医疗健康服务信息必然会涉及到大量的公民个人的隐私信息,因此大数据运用过程中的个人健康医疗信息的保护问题不容忽视。

1健康医疗大数据存在的信息安全威胁

健康医疗大数据对人的全生命周期中的医药服务信息、疾控信息等进行采集、聚合,个人健康医疗信息主要是指在个人健康检查、疾病诊断与控制或治疗、医学研究等过程中涉及到的个人肌体特征、健康状况、人际接触、遗传基因、病史病历等方面的信息。健康医疗大数据通过分析个体医疗信息能够为个体提供个性化的治疗方案和健康管理服务。但是大数据技术带来了新的安全威胁和安全问题,越来越多的患者数据面临泄露风险,影响患者安全及隐私。健康医疗大数据中的特定个人的姓名、住址、出生日期、身份证号、医疗记录、照片、影像资料等个人信息和隐私数据如果保护不当,都可能存在主动或被动的泄露。大数据具有价值密度低的特征,单一数据可能不存在隐私泄露,多源数据聚合后可能会存在身份识别的风险,对患者的个人信息安全和隐私保护构成严峻挑战。例如2016年7月有媒体报道了我国275位艾滋病感染者个人信息遭泄露的事件,犯罪分子在诈骗电话中通过准确说出病患的隐私信息取得其信任,谎称为病患办理补助以骗取病患钱财。另外,医药信息外泄、非法买卖公民个人信息事件等都对公民的个人信息和隐私保护构成威胁。

2个人健康医疗信息的法律保护

健康医疗大数据是一种信息资产,在现行的法律体系下,主要分为两种情况:一种是原始信息和数据的保护,即医疗机构或经过授权的大数据相关企业收集到的个人医疗信息没有进行有效的信息脱敏处理,这种情况属于个人信息和隐私,可从隐私权、信息安全维度进行保护;另外一种情况是数据获得者对健康医疗数据进行了合法的信息脱敏处理从而使其具有了智力成果或经济价值属性,那么可以通过知识产权或商业秘密途径予以保护。刑法明确规定了侵犯公民个人信息罪,其他的相关法规也有涉及个人信息安全的保护,但都收效甚微。因此最新的《民法总则》新增了个人信息的保护,首次明确保护个人信息,希望能在保护个人信息安全方面起到较大作用。该条将个人信息权从隐私权中独立出来,明确了个人信息的归属关系,强调信息是个人所有财产,个人对其具备支配地位。相关企业可以依法获取和利用个人信息,但要承担法律义务,保护个人信息安全。

3国外的立法保护实践

首先,美国在健康医疗信息和大数据应用中已经形成了比较完备的一个法律体系。美国的《健康保险携带和责任法案》(“HIPAA”法案),还配套制定了“安全规则”和“隐私规则”。美国对儿童信息、医疗档案、金融数据等一些比较敏感的领域的信息安全保护尤为重视,分别进行了立法,如《消费者网上隐私法》、《儿童网上隐私保护法》以及《电子通讯隐私法案》等。美国在其医疗信息化战略规划中还指出要创造一种医疗健康信息存储和安全使用的社会文化,使每个人都能安全无忧地受益于健康医疗大数据的发展。另外,欧洲议会制定《保护自动化处理个人数据公约》对个人信息保护提出了八项基本原则并进行了具体的法律规定;加拿大的《个人健康信息隐私与使用法案》,规定了信息管理人必须使用去身份化信息进行符合法律规定的研究等。

4完善个人健康医疗信息保护的建议

4.1加强行业自律,建立数据安全管理制度

大数据应用中个人信息和隐私保护首先在于行业自律,政府相关部门应对健康医疗大数据相关企业和医疗机构的收集、处理以及应用个人健康医疗数据的整个过程进行规范,并要求健康数据相关的企业和医疗机构建立数据安全管理制度,对个人数据隐私安全进行监测监管,建立诚信档案或信用评估记录,注重内容安全和技术安全。

4.2规范健康医疗数据的采集和使用

个人医疗信息的法律保护问题还经常出现在数据收集和使用的过程中,必须设置标准规范进行约束。一是通过自身或关联的公司开发的移动平台收集健康医疗数据,必须在被收集者的知情同意下,通过合法途径收集并正当使用;二是第三方机构通过医疗卫生机构获得的健康医疗数据,必须要设置数据安全防护墙,通过严格的信息脱敏过程,使得无法识别特定个人且不能复原。越来越多的大数据企业能够为客户提供更加精准和有效的服务,但是要明确正当使用和非法使用,还要对个人信息使用的途径进行严格界定。

4.3把个人健康数据归还给个人,在信息使用和保护中找到平衡点

个人信息权属于私权性质,应当充分尊重交易双方在个人信息安排和处分中的意思自治,把个人信息如何利用的决定权交由权利人来决定。在医疗健康信息的使用和保护中进行平衡,使得健康医疗大数据的应用在不会损害到个人的信息安全的基础上发挥作用。

5结语

未来健康医疗大数据的发展前景广阔,我国需在借鉴国际经验的同时,结合自身实际情况,进一步探索健康医疗大数据的应用和保护模式。制定和完善个人信息安全保护的法律法规,推进个人信息保护单行法的立法进程,严格健康医疗大数据应用的准入门槛,制定居民健康信息服务的管理规范,真正创建基于大数据应用的专业诊疗及健康惠民服务新模式。

参考文献

[1]孟群.促进健康医疗大数据应用保障“健康中国2030”建设[J].中国卫生信息管理杂志,2016,(06):539.

[2]许培海,黄匡时.我国健康医疗大数据的现状、问题及对策[J].中国数字医学,2017,(05):24-26.

[3]汤啸天.个人健康医疗信息和隐私权保护[J].同济大学学报(社会科学版),2006,(03):117-123.

[4]黎勇.实践中探索健康医疗大数据的安全和隐私保护:2016智能城市与信息化建设国际学术交流研讨会[C].美国洛杉矶,2016.

[5]吴小同.大数据环境下隐私保护及其关键技术研究[D].南京:南京大学,2017.

[6]何延哲,付嵘.275位艾滋病感染者个人信息泄露事件再次警示:安全是健康医疗大数据的核心基础[J].中国经济周刊,2016,(30):79-81.

[7]王忠,陈伟.我国健康大数据发展的障碍及对策[J].卫生经济研究,2017,(11):54-57.

[8]王利明.论个人信息权的法律保护———以个人信息权与隐私权的界分为中心[J].现代法学,2013,(04):62-72.

[9]王冰倩,李亚子,李娟,等.HIPAA演变分析及其启示[J].医学信息学杂志,2016,(02):47-51.

[10]舒婷,梁铭会.美国联邦政府医疗信息化战略规划(2015-2020)内容简析[J].中国数字医学,2015,(02):2-4.

[11]罗昆.个人信息权的私权属性与民法保护模式[J].广西大学学报(哲学社会科学版),2015,(03):86-90.

作者:王丹丹 姚峥嵘 宋晨晓 严蓓蕾 单位:南京中医药大学卫生经济管理学院